商業銀行網絡貸款管理暫行辦法
第壹章總則
第壹條為規範商業銀行網絡貸款業務運作,促進網絡貸款業務健康發展,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本辦法。
第二條在中華人民共和國境內依法設立的商業銀行從事網絡貸款業務,應當遵守本辦法。
第三條本辦法所稱網絡貸款,是指商業銀行向符合條件的借款人提供的用於消費、日常生產經營周轉等的個人貸款和流動資金貸款。,通過運用互聯網、移動通信等信息通信技術,基於風險數據和風險模型進行交叉驗證和風險管理,在線自動受理貸款申請和進行風險評估,完成授信審批、合同簽訂、貸款發放、貸後管理等核心業務操作。
第四條本辦法所稱風險數據是指商業銀行在借款人識別、貸款風險識別、分析、評估、監測、預警和處置過程中收集和使用的各類內外部數據。
本辦法所稱風險模型是指適用於互聯網貸款業務全流程的各種模型,包括但不限於身份認證模型、反欺詐模型、反模型、合規模型、風險評估模型、風險定價模型、授信審批模型、風險預警模型、貸款催收模型等。
本辦法所稱合作機構,是指與商業銀行在營銷客戶、* *合資貸款、支付結算、風險共擔、信息科技、逾期催收等方面開展合作的各類機構。,包括但不限於銀行業金融機構、保險公司等金融機構和公司、融資性擔保公司、電子商務公司、非銀行支付機構、信息技術公司等非金融機構。
第五條本辦法不適用於以下貸款:
(1)雖然借款人在線上申請貸款,但商業銀行線下或主要通過線下進行貸前調查、風險評估和授信審批,貸款信用的核心判斷來自線下貸款;
(2)商業銀行發放的抵押物,抵押物需要通過線下或主要通過線下方式進行評估、登記和交付保管;
(三)中國銀行保險監督管理委員會規定的其他貸款。
其他相關監管規定適用於上述貸款。
第六條網絡貸款應遵循小額、短期、高效、風險可控的原則。
單戶個人消費信用貸款授信額度不超過20萬元,壹次性還本的授信期限不超過1年。中國銀行保險監督管理委員會可根據商業銀行經營管理、風險水平和互聯網貸款業務發展情況,對上述額度進行調整。商業銀行應當在上述規定的限額內,根據其客戶群體的特點和客戶的消費場景,制定差異化的授信額度。
商業銀行應根據自身風險管理能力,根據互聯網貸款的地區、行業和品種,確定個人貸款和單戶生產經營流動資金貸款的授信額度上限。對於上述期限超過壹年的貸款,應至少每年對貸款對應的授信進行壹次重新評估和審批。
第七條商業銀行應根據市場定位和發展戰略,制定自身的互聯網貸款業務計劃。涉及合作機構的,應當明確合作方式。
第八條商業銀行應當對互聯網貸款業務實施統壹管理,將互聯網貸款業務納入全面風險管理體系,建立健全適合互聯網貸款業務特點的風險治理架構、風險管理政策和流程、內部控制和審計制度,有效識別、評估、監測和控制互聯網貸款業務風險,確保互聯網貸款業務發展與自身風險偏好和風險管理能力相適應。
互聯網貸款業務涉及合作機構的,授信審批、合同簽訂等核心風控環節應由商業銀行獨立有效開展。
第九條本地法人銀行開展互聯網貸款業務,應主要服務本地客戶,審慎開展跨註冊地業務,有效識別和監控跨註冊地業務發展。沒有實體營業網點,除符合中國銀行保險監督管理委員會規定的其他條件外,業務主要在網上進行。
在其他省(自治區、直轄市)設立分支機構的,對分支機構所在行政區域內的客戶開展的業務不屬於前款所稱跨註冊地管轄的業務。
第十條商業銀行應當建立健全借款人權益保護機制,完善消費者權益保護內部考核制度,切實承擔起借款人數據保護的主體責任,加強借款人隱私數據保護,構建安全有效的業務咨詢和投訴處理渠道,確保借款人享受不低於線下貸款業務的相應服務,並將消費者保護要求嵌入互聯網貸款業務全流程管理體系。
第十壹條中國銀行保險監督管理委員會及其派出機構(以下簡稱銀行業監督管理機構)依照本辦法對商業銀行網絡貸款業務實施監督管理。
第二章風險管理體系
第十二條商業銀行應當建立健全網絡貸款風險治理結構,明確董事會和高級管理層對網絡貸款風險管理的職責,建立考核和問責機制。
第十三條商業銀行董事會承擔網絡貸款風險管理的最終責任,並履行以下職責:
(壹)審批網貸業務計劃、合作機構管理政策和跨區域管理政策;
(二)審批網絡貸款風險管理制度;
(三)監督高級管理層管理和控制網絡貸款風險;
(四)定期獲取網絡貸款業務評估報告,及時了解網絡貸款業務的經營管理、風險水平和消費者保護情況;
(五)其他相關職責。
第十四條商業銀行高級管理層應當履行下列職責:
(壹)確定互聯網貸款的管理架構,明確各部門的職責分工;
(二)制定、評估並監督執行網貸業務規劃、風險管理政策和程序、合作組織管理政策和程序、跨區域管理政策;
(三)制定互聯網貸款業務的風險控制指標,包括但不限於互聯網貸款限額、與合作機構的貸款限額及出資比例、合作機構集中度、不良貸款率等。;
(四)建立互聯網貸款業務風險管理機制,持續有效地監測、控制和報告各類風險,及時應對風險事件;
(五)全面了解並定期評估網貸業務的發展、風險水平、管理和消費者保護情況,及時掌握其重大變化,並定期向董事會報告;
(六)其他相關職責。
第十五條商業銀行應當確保擁有足夠的資源獨立有效地開展互聯網貸款風險管理,確保董事會和高級管理層能夠及時了解風險狀況,準確理解風險數據和風險模型的功能和局限性。
第十六條商業銀行網絡貸款風險管理體系應覆蓋營銷、調查、授信、簽約、放款、支付、跟蹤、回收等貸款業務全過程。
第十七條商業銀行應當通過合法渠道和方式獲取目標客戶數據,開展貸款營銷,充分評估目標客戶的資金需求、還款意願和還款能力。商業銀行應在貸款申請流程中增加強制閱讀貸款合同,並設定合理的閱讀時限。
商業銀行在向目標客戶推廣互聯網貸款產品時,應當在顯著位置充分披露貸款主體、貸款條件、實際年利率、年化綜合資金成本、還本付息安排、逾期催收、咨詢投訴渠道、違約責任等基本信息,保障客戶的知情權和自主選擇權,不得以違約查重或強制捆綁等方式剝奪消費者表達意願的權利。
第十八條商業銀行應當按照反恐怖融資的要求,建立身份認證模型,采取在線驗證、生物特征識別等有效措施識別客戶身份,對借款人的身份數據和借款意圖進行在線驗證和保存,確保借款人身份數據真實有效,借款人意圖真實。商業銀行不得全權委托合作機構核實借款人身份。
第十九條商業銀行應建立有效的反欺詐機制,實時監控欺詐行為,定期分析欺詐風險的變化,不斷完善反欺詐模型審查規則和相關技術手段,防範冒充他人和惡意騙取銀行貸款的行為,確保信貸資金安全。
第二十條商業銀行應在獲得授權後查詢借款人的信用信息,通過合法的渠道和方式在線收集、查詢和核實借款人的相關定性和定量信息,包括但不限於稅收、社會保險基金、住房公積金等信息,全面了解借款人的信用狀況。
第二十壹條商業銀行應當構建有效的風險評估、授信審批和風險定價模型,加強統壹授信管理,運用風險數據,結合借款人現有債務,審慎評估借款人的還款能力,確定借款人的信用等級和授信方案。
第二十二條商業銀行應建立人工審核機制,作為風險模型自動審批的必要補充。商業銀行應明確人工審核的觸發條件,設置合理的人工審核操作流程。
第二十三條商業銀行應當以數據電文形式與借款人及其他當事人簽訂借款合同及其他文件。借款合同等文件應符合《中華人民共和國合同法》、《中華人民共和國電子簽名法》等法律法規的規定。
第二十四條商業銀行應當與借款人約定明確、合法的貸款用途。貸款資金不得用於下列事項:
(壹)購買和償還住房抵押貸款;
(二)股票、債券、期貨、金融衍生品和資產管理產品投資;
(3)固定資產和股權的股權投資;
(四)法律法規禁止的其他用途。
第二十五條商業銀行應當按照有關法律法規的要求,對以數據電文形式簽訂的借款合同以及信貸過程中關鍵環節和節點的數據進行存儲、傳輸和歸檔。已簽署的借款合同及相關資料應可供借款人隨時查閱。
第二十六條授信與發放首筆貸款的時間間隔超過1個月的,商業銀行應在發放貸款前對借款人的信用狀況進行重新評估,並根據借款人特征和貸款金額確定跟蹤借款人信用記錄的頻率,確保及時獲取其綜合信用狀況。
第二十七條商業銀行應當按照借款合同對貸款資金的支付進行管理和控制,貸款支付應當由具有合法支付業務資格的機構執行。商業銀行應加強支付賬戶的監控和對賬管理。如果發現潛在風險,應立即發出預警並采取相關措施。采用自主支付方式的,根據借款人過往行為數據、交易數據、信用數據確定單日貸款支付限額。
第二十八條商業銀行應當遵守《個人貸款管理暫行辦法》和《流動資金貸款管理暫行辦法》的規定,同時根據自身風險管理水平、互聯網貸款規模和結構、應用場景、增信手段等確定差異化的委托支付限額。
第二十九條商業銀行應建立風險監測預警模型,對借款人的財務、信用和經營狀況進行監測,設置合理的預警指標和預警觸發條件,及時發出預警信號,必要時采用人工核查作為補充手段。
第三十條商業銀行應當以適當的方式監控貸款的使用。發現借款人違法違規或未按約定用途使用貸款資金的,應按照合同約定提前收回貸款,並追究借款人相應責任。
第三十壹條商業銀行應完善內部審計制度,獨立、客觀地開展內部審計,審查、評估和督促改進網絡貸款業務的經營、風險管理、內部控制和合規效果。銀行業監管機構可要求商業銀行提交互聯網貸款專項內部審計報告。
第三十二條互聯網貸款不良形成,商業銀行應根據其性質及時制定差異化處置方案,提高處置效率。
第三章風險數據和風險模型管理
第三十三條商業銀行在進行借款人身份核實、貸前調查、風險評估、信用審查和貸後管理時,至少應包括借款人姓名、身份證號、電話號碼、銀行賬戶等風險評估所必需的基本信息。需要從合作組織獲取借款人風險數據的,應當通過適當方式確認合作組織的數據來源合法合規、真實有效,對外提供的數據不違反法律法規要求,並已獲得信息主體本人的明確授權。商業銀行不得與違反規定收集、使用個人信息的第三方合作。
第三十四條商業銀行收集和使用借款人風險數據應遵循合法、必要和有效的原則,不得違反法律法規和借貸雙方的約定,不得利用風險數據從事與貸款業務無關的活動或損害借款人的合法權益,不得向第三方提供借款人的風險數據,法律法規另有規定的除外。
第三十五條商業銀行應建立風險數據安全管理的策略和標準,采取有效的技術措施確保借款人風險數據在收集、傳輸、存儲、處理和銷毀過程中的安全,防範數據泄露、丟失或被篡改的風險。
第三十六條商業銀行應對風險數據進行必要的處理,以滿足風險模型對數據準確性、完整性、壹致性、及時性和有效性的要求。
第三十七條商業銀行應合理分配風險模型開發、測試、評估、監控和退出的職責和權限,確保分工明確、責任分明。商業銀行不得將上述風險模型的管理職責外包,並應加強風險模型的保密管理。
第三十八條商業銀行應結合貸款產品、目標客戶、風險數據和風險管理策略的特點,選擇合適的技術標準和建模方法,科學設置模型參數,構建風險模型,並在正常和壓力情景下測試模型的有效性和穩定性。
第三十九條商業銀行應建立風險模型審查機制和模型審查委員會,負責風險模型審查。風險模型評估應獨立於風險模型開發,評估應關註風險模型的有效性和穩定性,以確保與銀行信貸審批條件和風險控制標準的壹致性。風險模型只有通過審核後才能在線應用。
第四十條商業銀行應建立有效的風險模型日常監控系統,至少應包括在線風險模型的有效性和穩定性,以及模型認可的所有貸款的實際違約情況。如果監控發現模型存在缺陷或不符合模型的設計目標,應確保能夠及時提示風險模型開發和測試部門或團隊進行重新測試和優化,以確保風險模型能夠持續適應風險管理要求。
第四十壹條商業銀行應建立風險模型,退出處置機制。對於不能滿足風險管理要求的風險模型,應立即停止使用,並及時采取相應措施,消除模型退出對貸款風險管理的不利影響。
第四十二條商業銀行應當全面記錄風險模型從開發到退出的全過程,並以文件化方式歸檔管理,供本行和銀行業監督管理機構隨時查閱。
第四章信息科技風險管理
第四十三條商業銀行應建立安全、合規、高效、可靠的網絡貸款信息系統,以滿足網絡貸款業務運營和風險管理的需要。
第四十四條商業銀行應當註重提高網貸信息系統的可用性和可靠性,加強對網貸信息系統安全運行的管理和維護,定期開展安全測試和壓力測試,確保系統安全、穩定、持續運行。
第四十五條商業銀行應當采取必要的網絡安全保護措施,加強網絡訪問控制和行為監控,有效防範網絡攻擊等威脅。與合作機構進行數據交互時,應采取切實可行的措施有效隔離敏感數據,確保數據交互在安全合規的環境下進行。
第四十六條商業銀行應加強客戶端程序(包括但不限於瀏覽器插件程序、桌面客戶端程序和移動客戶端程序等)的安全加固。)部署在借款人端,提高客戶端程序的防攻擊、防入侵、防篡改、防反編譯等安全能力。
第四十七條商業銀行應當采取有效的技術手段保障借款人的數據安全,確保商業銀行與借款人及合作機構之間的數據傳輸、合同簽署、交易記錄等各個環節數據的保密性、完整性、真實性和不可否認性,並做好定期數據備份。
第四十八條商業銀行應充分評估合作機構信息系統的服務能力、可靠性和安全性以及敏感數據的安全防護能力,開展聯合演練和測試,強化合同約束。
商業銀行應每年對與合作機構的數據交互進行信息科技風險評估,形成風險評估報告,確保商業銀行信息系統的安全性不會因合作而降低,確保業務連續性。
第五章貸款合作管理
第四十九條商業銀行應建立覆蓋各類合作機構的統壹準入機制,明確相應的標準和流程,實行名單制管理。
商業銀行應當根據合作內容、對客戶的影響範圍和程度以及對銀行金融穩定的影響程度,對合作機構實施分級分類管理,並根據其級別和類別確定相應的審批權限。
第五十條商業銀行應當按照合作機構資質與其承擔的職能相匹配的原則,對合作機構進行準入前評估,確保合作機構和合作事項符合法律法規和監管要求。
商業銀行應當主要從經營狀況、管理能力、風險控制水平、技術實力、服務質量、業務合規性和機構聲譽等方面對合作機構進行準入前評價。在選擇出資額相同的合作機構時,還應關註合作方的資本充足率水平、杠桿率、流動性水平、不良貸款率、貸款集中度及其變化情況,審慎確定合作機構名單。
第五十壹條商業銀行應當與合作機構簽訂書面合作協議。書面合作協議應當明確約定合作範圍、操作流程、各方權責、收益分配、風險分擔、客戶權益保護、數據保密、爭議解決、合作事項變更或終止的過渡安排、違約責任,以及合作機構承諾配合商業銀行接受銀行業監督管理機構的檢查並提供相關信息和資料。
商業銀行應自主確定目標客戶群體、授信額度和貸款定價標準;商業銀行不得直接或變相向合作機構自身及其關聯方提供融資用於放貸。除出資發放貸款的合作機構外,商業銀行不得委托合作機構執行貸款發放、本息回收、止付等關鍵操作。商業銀行應在書面合作協議中明確要求合作機構不得以任何形式向借款人收取利息費用,但保險公司和具有擔保資質的機構除外。
第五十二條商業銀行應在相關頁面的顯著位置向借款人充分披露自身及其合作機構、合作產品、自身及其合作各方的權利和責任等信息,按照適當性原則充分揭示合作業務的風險,避免在客戶中造成品牌混淆。
商業銀行應在貸款合同和產品要素描述界面以醒目方式向借款人充分披露貸款主體、實際年利率、年化綜合資金成本、還本付息安排、逾期催收、咨詢投訴渠道、違約責任等信息。商業銀行需要取得借款人對風險數據的授權時,應當在相關網頁上提示借款人詳細閱讀授權內容,並在授權的顯著位置披露授權風險數據的內容和期限,確保借款人閱讀授權後簽字同意。
第五十三條商業銀行與其他具備貸款資格的機構共同出資發放互聯網貸款的,應當建立相應的內部管理制度,明確銀行與合作機構共同出資發放貸款的管理機制,並在合作協議中明確各方權利義務。商業銀行應對其投放的貸款獨立進行風險評估和授信審批,並承擔貸後管理的主體責任。商業銀行不得以任何形式為無放貸業務資格的合作機構提供資金發放貸款,不得出資與無放貸業務資格的合作機構發放貸款。
商業銀行應按照適度分散的原則審慎選擇合作機構,並針對合作機構造成的業務中斷制定應急和恢復計劃,避免因過度依賴單壹合作機構而產生的風險。
第五十四條商業銀行應充分考慮自身發展戰略、經營模式、資產負債結構和風險管理能力,按照零售貸款總額或貸款總額的相應比例,將合作機構* * *貢獻的貸款總額納入限額管理,加強合作機構* * *的集中度風險管理。商業銀行應當對單筆貸款的投資比例實行區間管理,並與合作方合理分擔風險。
第五十五條商業銀行不得接受無擔保資格的合作機構和不符合信用保險、保證保險業務資格監管要求的合作機構提供的直接或變相增信服務。商業銀行在與具有擔保資格的合作機構開展合作時,應充分考慮上述機構的增信能力和集中度風險,並符合信用保險和保證保險業務資格的監管要求。商業銀行不得因引入擔保和信用增級而放松對貸款質量的控制。
第五十六條商業銀行不得委托有暴力催收等違法行為記錄的第三方機構催收貸款。商業銀行應明確界定其與第三方機構的權利和責任,並要求其不得向與貸款無關的第三方收取款項。商業銀行發現合作機構有暴力催收等違法行為的,應當立即終止合作,並將違法線索及時移交有關部門。
第五十七條商業銀行應持續管理合作機構,及時識別、評估和緩釋合作機構違約或經營失敗導致的風險。合作機構每年至少進行壹次綜合評價。發現合作機構已不能滿足準入條件的,應當及時終止合作關系。合作機構在合作期間發生嚴重違法違規行為的,應及時納入我行禁止合作機構名單。
第六章監督管理
第五十八條商業銀行首次開展網絡貸款業務,應在產品上線後65,438+00個工作日內向其監管機構提交書面報告,包括:
(壹)業務規劃,包括年度和中長期互聯網貸款業務模式、業務對象、業務領域、地域範圍和合作組織管理等。;
(二)風險控制措施,包括互聯網貸款業務治理結構和管理制度、互聯網貸款風險偏好、風險管理政策和流程、信息系統建設和信息科技風險評估、反恐怖融資制度、互聯網貸款合作機構管理政策和流程、互聯網貸款業務限額、與合作機構貸款的限額和投資比例、合作機構集中度等重要風險控制指標;
(三)網絡網貸產品的基本情況,包括產品合規評估、產品風險評估、風險數據和風險模型管理,是否符合本辦法的相關要求;
(四)消費者權益保護及其配套服務;
(五)銀行業監督管理機構要求的其他材料。
第五十九條銀行業監督管理機構應當結合日常監管和商業銀行風險狀況,對商業銀行提交的報告及相關資料進行評估,重點關註:
(1)網貸業務規劃是否與自身業務定位和差異化發展戰略相匹配;
(2)是否獨立掌握授信審批、合同簽訂等核心風險控制環節;
(三)信息科技風險的基本防範措施是否健全。
(四)網絡產品的授信額度、期限、貸款控制、數據保護、合作組織管理等是否符合本辦法的要求;
(5)消費者權益保護是否全面有效。
發現不符合本辦法要求的,應當要求商業銀行限期整改、停業。
第六十條商業銀行應當按照本辦法的要求,對網絡貸款業務發展情況進行年度評估,並於每年4月30日前向銀行業監督管理機構提交上壹年度的年度評估報告。年度評估報告包括但不限於以下內容:
(壹)基本業務信息;
(二)年度經營管理分析;
(三)業務風險分析和監管指標績效分析;
(四)識別、計量、監測和控制風險的主要方法及其改進情況,信息科技風險防控措施的有效性;
(五)風險模型的監控和驗證。
(六)合規管理和內控管理;
(七)投訴及處理情況;
(八)下壹年度業務發展計劃;
(九)銀行業監督管理機構要求報告的其他事項。
第六十壹條互聯網貸款的風險治理結構、風險管理策略和程序、數據質量控制機制、管理信息系統和合作組織管理在運行期間發生重大調整的,商業銀行應在調整後65,438+00個工作日內將調整情況書面報告銀行業監督管理機構。
第六十二條銀行業監督管理機構可以根據商業銀行經營管理、風險水平和互聯網貸款業務發展情況,對商業銀行與合作機構發放貸款的出資比例和相關集中度風險、跨註冊地管轄業務提出相關審慎監管要求。
第六十三條銀行業監督管理機構可以通過非現場監管和現場檢查的方式對商業銀行的網絡貸款業務進行監督檢查。
銀行業監督管理機構對商業銀行的網絡貸款業務進行數據統計和監測,評估重要風險因素等。
第六十四條商業銀行違反本辦法辦理網絡貸款的,銀行業監督管理機構可以依據《中華人民共和國銀行業監督管理法》責令其限期改正。逾期未改正的,或者其行為嚴重危及商業銀行穩健經營、損害客戶合法權益的,應當采取相應的監管措施。違反本辦法情節嚴重的,可依據《中華人民共和國銀行業監督管理法》第四十五條、第四十六條、第四十七條、第四十八條的規定予以行政處罰。
第七章附則
第六十五條經營網絡貸款業務的商業銀行應當根據本辦法制定網絡貸款管理細則和操作流程。
第六十六條本辦法未盡事宜,按照《個人貸款管理暫行辦法》和《流動資金貸款管理暫行辦法》執行。
第六十七條外國銀行分行適用本辦法。除第六條個人貸款期限要求外,消費金融公司、汽車金融公司開展互聯網貸款業務參照本辦法執行。
第六十八條本辦法由中國銀行保險監督管理委員會負責解釋。
第六十九條本辦法自發布之日起施行。
第七十條過渡期自本辦法實施之日起2年。過渡期內的新業務應符合本辦法的規定。商業銀行、消費金融公司、汽車金融公司應制定過渡期互聯網貸款整改方案,明確時間進度,並自本辦法實施之日起1個月內向銀行業監督管理機構提交符合本辦法第五十八條規定的書面報告和整改方案,由銀行業監督管理機構監督實施。
第二,央行對小額消費貸款的反欺詐監管期限是多久?
壹年。
公司監管部門暫停新批建網。